马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
×
管理终端登录
[root@localhost ~]# grep "/sbin/nologin$" /etc/passwd
表现克制终端登录,应确保不被人改动
输出结果:
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0 perator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
libstoragemgmt:x:998:995:daemon account for libstoragemgmt:/var/run/lsm:/sbin/nologin
colord:x:997:994:User for colord:/var/lib/colord:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
saned:x:996:993:SANE scanner daemon user:/usr/share/sane:/sbin/nologin
gluster:x:995:992:GlusterFS daemons:/run/gluster:/sbin/nologin
saslauth:x:994:76:Saslauthd user:/run/saslauthd:/sbin/nologin
abrt:x:173:173::/etc/abrt:/sbin/nologin setroubleshoot:::993:990::/var/lib/setroubleshoot:/sbin/nologin
rtkit:x:172:172:RealtimeKit:/proc:/sbin/nologin
pulse:x:171:171 ulseAudio System Daemon:/var/run/pulse:/sbin/nologin
radvd:x:75:75:radvd user:/:/sbin/nologin
chrony:x:992:987::/var/lib/chrony:/sbin/nologin
unbound:x:991:986:Unbound DNS resolver:/etc/unbound:/sbin/nologin
qemu:x:107:107:qemu user:/:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/sbin/nologin
sssd:x:990:984:User for sssd:/:/sbin/nologin usbmuxd:x:113:113:usbmuxd user:/:/sbin/nologin
geoclue:x:989:983:User for geoclue:/var/lib/geoclue:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin gdm:x:42:42::/var/lib/gdm:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
gnome-initial-setup:x:988:982::/run/gnome-initial-setup/:/sbin/nologin
sshd:x:74:74rivilege-separated SSH:/var/empty/sshd:/sbin/nologin
avahi:x:70:70:Avahi mDNS/DNS-SD Stack:/var/run/avahi-daemon:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin tcpdump:x:72:72::/:/sbin/nologin
账号管理
[root@localhost ~]# usermod -L chen
-L表现:锁定账号
[root@localhost ~]# passwd -S chen
-S表现:查察账号状态
输出结果:
chen LK 2025-02-27 0 99999 7 -1 (Password locked.)
-U表现:解锁账号
[root@localhost ~]# usermod -U chen
查察账号状态示例
[root@localhost ~]# passwd -S chen
输出结果:
chen PS 2025-02-27 0 99999 7 -1 (Password set, SHA256 crypt.)
文件管理
+i表现:锁定状态
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
-i表现:解锁状态
[root@localhost ~]# chattr -i /etc/passwd /etc/shadow
lsattr:查察文件属性
根本用法
常用选项
选项阐明-a表现全部文件(含隐蔽文件)-d表现目次本身属性(非内容)-R递归表现子目次及文件属性输出示例
- $ lsattr /etc/passwd
- ----i----------- /etc/passwd
- 关键属性标识:
- i:不可变(无法修改/删除)
- a:仅允许追加内容
- e:文件利用 extents 映射(默认启用)
锁定文件 (锁定文件后无法打开文件)
[root@localhost ~]# chattr +i /etc/passwd /etc/shadow
查察文件
输出结果:
useradd: cannot open /etc/passwd
暗码安全控制
通过更改文件,改变暗码限期
[root@localhost ~]# vi /etc/login.defs (实用于新建的用户)
删除前面的#,将days 后改为30
PASS_MAX_DAYS 30 (用户暗码有用期30天)
用下令对已创建的lisi用户,改变下令限期
[root@localhost ~]# chage -M 30 lisi
设置用户下次登录就要修改暗码:
[root@localhost ~]# chage -d 0 lisi
将汗青下令改为存储上限为200
[root@localhost ~]# vi /etc/profile
[root@localhost ~]#export HISTSIZE=200
当用户退出已登录bash环境,
[root@localhost ~]# vi ~/.bash_logout
#~/.bash_logout
histoy -c clear
:x (生存cat 查察~/.bash_logout文件)
[root@localhost ~]# vi /etc/profile
......//省略部门内容
export TMOUT=600 (编辑/etc/profile文件)
[root@localhost ~]# export TMOUT=600
闲置600s自动账户注销,
切换用户
su下令
[jerry@localhost ~]s su - root //输入用户 root的口令
暗码: [root@localhost ~]# //验证乐成后得到 root权限
添加到组
[root@localhost ~]# gpasswd -a tsengyia wheel
正在将用户"tsengyia"到场"wheel"组中 //添加授权用户 tsengyia
[root@localhost ~]# grep wheel /etc/group //确认 wheel 构成员
wheel:x:10:tsengyia
[root@localhost~]# vi /etc/pam.d/su
启用 pam_wheel 认证以后,未到场 wheel 组内的其他用户将无法利用“su”下令,实验举行切换时会提示“拒绝权限”,将切换用户的权限控制在最小
[jerry@localhost ~]$su-root //实验切换为 root 暗码: su:拒绝权限
在/cic/sudoens 设置文件中,授权记载的
根本设置格式如下: user MACHINE=COMMANDS
注:
用户(user):直接授权指定的用户名,或采取“%组名”的情势授权一个组的全部用户,
主机(MACHINE):利用此设置文件的主机名称。此部门告急是方便在多个主机间共用同份 sudoers 文件,一样寻常设为 localhost 或实际的主机名即可。
下令(COMMANDS):允许授权的用户通过sudo方式实验的特权下令,需填写下令程产完备路径,多个下令之间以逗号“”举行分隔。
可以或许实验“ifconfg”下令来修改IP地点,而 whecl组的用户无须验证暗码即可实验任何下令,可以实验以下下令。 [root@localhost~]# visudo//省略部门内容 Jerry localhost=/sbin/ifconfig &wheel ALL=NOPASSWD:ALL
当利用类似授权的用户较多,大概授权的下令较多时,可以采取会集界说的别名。用户,主机下令部门都可以界说为别名[必须为大写],分别通过关键字User_Alias、Host_Alias、Cmmd举行设置。
比方,实验以下下令通过别名方式来添加授权记载,允许用户jemy、tom、tsengsmtp、pop 中实验“rpm”和“yum”下令。 [root@localhost )# visudo
sudo设置记载的下令部门允许利用通配符“*”,取反符号“!”,它们常被用于授权某个目次下的全部下令或取消此中个别下令。比方,若要授权用户syimner可以实验sbin/目次下除ifconfg.route外的其他全部下令步调,那么可以实验以下下令。 [root@localhost ~]# visudo
默认环境下,通过 sudo 方式实验的操纵并不记载。
若要启用 sudo 日志 记载以备管理员查察,那么应在/etc/sudoers 文件中增长“Defaults logfle”设置。 [root@localhost ~]# visudo //查找 Defaults,在前面添加一行内容
//省略部门内容
对于已得到授权的用户,通过sudo 方式实验特权下令时,只需将正常的下令作为“sudo”下令的参数即可。由于特权下令步调通常位于/sbin、/usr/sbin 等目次下,以是寻常用户实验时应利用绝对路径。以下下令验证了利用 sudo 方式实验下令的过程。
[jerry@localhost ~]s/sbin/ifconfig ens33:0 192.168.1.11/24//
未用 sudo 的环境SIOCSIFADDR:不允许的操纵 SIOCSIFFLAGS:不允许的操纵 SIOCSIFNETMASK:不允许的操纵 [jerry@localhost ~]$ sudo /sbin/ifconfig ens33:0 192.168.1.11/24//
查询结果 [sudo] password for jerry:
[jerry@localhost ~]$/sbin/ifconfig ens33:0 ……//省略部门内容 //验证 jerry 的暗码//查察实验结果
若要查察用户本身得到了哪些 sudo 授权,那么可以实验“sudo -1”下令举行查察。(未授权的用)将会得到“may notrun sudo”的提示,
已授权的用户则可以看到本身的 sudo 设置。 [syrianer@localhost ~]$ sudo -l
开关机安全控制
调解 BIOS引导设置 (1)将第一优先引导装备(First BootDevice)设为当前操纵体系地点磁盘。 (2)克制从其他装备(如光盘、U盘、网络等)引导操纵体系,对应的项设为“Disabled”
将 BIOS 的安全级别改为“setup”,并设置好管理暗码,以防范未授权的修改。
克制 Ctrl+Alt+ Del 组合键重启
组合键重启功能为服务器的当地维护提供了便利,但对于多终端登录的Linux 服务器而言,禁用此功能是比力安全的
在CentoS7操纵体系中,实验“cat/etcinittab”下令可知 Ctrl+Alt+De组合键功能由/usr/lib/systemd/system/ctrl-alt-del.target 文件举行设置。
查察/usr/lib/systemd/systemlctlalt-del.target 文件发现,
cirl-alt-del.target是reboot,target 文件的软链接文件。
[root@localhost]# cat /etc/inittab
在不影响 reboot.target 文件的条件下实验以下下令即可禁用 Cu+AH+DeL组合键功能, [rootelocalhost~]#systemctl mask ctrl-alt-del.target
//注销ctr1-alt-de1 服务
服务created symlink from /etc/systemd/system/ctrl-alt-del.target to /dev/null.
[root@localhost~]# systemctl daemon-reload //重新加载 systemd 设置
小结:
systemctl mask下令用于注销指定服务,比方,systemctlmask cpu.service下令用于注销 CPU务,取消注销则利用systemctl umask下令。因此,若想重新开启 Ctl+Alt+Del 组合键功能,则需实验systemctlunmask ctrl-alt-del.target下令,然后革新设置即可。
为 GRUB 菜单设置的暗码发起采取
“grub2-mkpasswd-pbkdf2”下令天生。天生暗码后,在/etc/grub.d/00 header 设置文件中添加对应的用户暗码等设置,具体添加内容如下:
[root@localhost~]# grub2-mkpasswd-pbkdf2
Enter password: //根据提示设置暗码 Reenter password:
//颠末加密的暗码字符串
[root@localhost ~]#cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg.bak
[root@localhost ~]# cp /etc/grub.d/00 header /ete/grub.d/00 header .bak
[root@localhost ~]# vim /etc/grub.d/00 header
//将下面的内容添加到文件末了 …//省略部门内容
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
|
发表于 2025-10-16 01:45:24
